BazarBackdoori pahavara kasutab Windowsi sisenemiseks Microsoft Store'i sarnast installi

Ründajad kasutavad BazarBackdoori pahavara levitamiseks Windowsis AppInstaller.exe-i. Selle on leidnud küberturvalisus Sophos Labsi teadlased. Pahavara levitamiseks kasutatakse uut andmepüügirünnakut.

Huvitav on see, et Sophos Labsi töötajad olid ise e-posti rämpsposti rünnaku sihtmärgid.

Ühes meilisõnumis, mille saatis väidetavalt "Sophose peadirektor" Adam Williams, keda tegelikult ei eksisteeri. "Ta" imestas, miks uurija ei vastanud kliendi kaebusele.

Meilis oli link PDF-sõnumile, mis paljastas uue pahavara levitamise meetodi. See hõlmab Microsoft App Installerit, mida poe rakendus kasutab operatsioonisüsteemides Windows 10 ja Windows 11.

URL algab tähega ms-appinstaller:// protokolli. Lingil klõpsamisel käivitatakse vaikebrauser, näiteks Microsoft Edge, mis seejärel käivitab tarkvara AppInstaller.exe, mida Microsoft Store kasutab rakenduste installimiseks.

Link osutab tekstifailile nimega Adobe.appinstaller, mis sisaldab juhiseid faili nimega Adobe_1.7.0.0_x64.appbundle allalaadimiseks ja installimiseks. Tarkvara on allkirjastatud sertifikaadiga, mille väljastas vaid paar kuud tagasi Ühendkuningriigis asuv Systems Accounting Limited.

Installer palub kasutajal installida tarkvara nimega "Adobe PDF Component". Kui luba antakse, laaditakse BazarBackdoori pahavara alla ja käivitatakse süsteemis sekunditega.

BazarBackdoor, nagu ka BazarLoader, suhtleb HTTPS-i kaudu, kuid erineb sellest tagaukse tekitatava suure mürarikka liikluse poolest. BazarBackdoor peatab teadaolevalt süsteemiandmeid. Arvatakse, et see on seotud ka Trickboti ja Ryuki lunavara installimisega.

Rohkem üksikasju leiate aadressilt ametlik Sophose ajaveeb.